[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico] [volume] [parte]
Il servente OpenBSD FTP (1) è un programma molto semplice da installare e configurare, anche in un sistema GNU, con il vantaggio che è in grado di operare anche con il protocollo IPv6. Eventualmente, se il tipo di configurazione disponibile non è sufficiente per le proprie esigenze, si può optare per serventi FTP differenti, come WU-FTP che è descritto nel capitolo 224.
OpenBSD FTP, come altri serventi FTP mette a disposizione l'eseguibile in.ftpd (o ftpd, a seconda della distribuzione). Questo demone può funzionare in modo autonomo, oppure sotto il controllo del supervisore dei servizi di rete. Nel primo caso si avvia con l'opzione -D, mentre nel secondo si usa l'opzione -q.
in.ftpd -D [opzioni] |
in.ftpd -q [opzioni] |
Nell'esempio seguente viene mostrata la riga di /etc/inetd.conf
in cui si dichiara il suo possibile utilizzo per quanto riguarda il caso particolare di Inetd:
|
Dal momento che OpenBSD FTP viene usato anche con IPv6, conviene vedere la configurazione necessaria per il file /etc/xinetd.conf
, nel caso il supervisore dei servizi di rete sia Xinetd:
|
La configurazione di OpenBSD FTP è molto semplice. Per prima cosa, l'accesso anonimo è consentito solo se nel sistema è previsto l'utente fittizio ftp, assieme alla sua directory personale e a una shell valida.(2) Convenzionalmente, una shell è valida quando è indicata nel file /etc/shells
.
Teoricamente, OpenBSD FTP non richiede nemmeno la predisposizione di una struttura particolare della directory |
Nel caso si utilizzi l'opzione -M, si deve provvedere a dividere la directory ~ftp/
in sottodirectory corrispondenti ai nomi di dominio con cui si può accedere al servizio. Per esempio, se l'elaboratore che ospita il servente OpenBSD FTP è raggiungibile con i nomi dinkel.brot.dg
e weizen.mehl.dg
, ci possono essere le directory ~ftp/dinkel.brot.dg/
e ~ftp/weizen.mehl.dg/
; chi accede a ftp://dinkel.brot.dg
in modo anonimo, vede la prima directory, mentre chi accede a ftp://weizen.mehl.dg
vede la seconda.
Si rammenta che l'utente anonimo accede solo alla porzione di file system che inizia da |
Dopo la sistemazione dell'accesso anonimo, conviene occuparsi del file /etc/ftpchroot
, all'interno del quale si possono elencare gli utenti che, pur potendo accedere con il proprio nominativo, possono entrare solo nella propria directory personale, come avviene per gli utenti anonimi con la directory ~ftp/
.
|
L'esempio che si vede sopra è molto breve e serve a fare in modo che gli utenti tizio e caio possano accedere limitatamente alla propria directory personale; tutti gli altri utenti hanno accesso a tutto il file system, con le limitazioni normali date dai permessi dei file e delle directory.
OpenBSD FTP riconosce anche il file /etc/ftpusers
, all'interno del quale vanno elencati i nominativi degli utenti a cui non si consente l'accesso. Generalmente si tratta di utenti fittizi, compreso root per questioni di sicurezza, come nell'esempio seguente:
|
Naturalmente, per compilare correttamente questo file, è bene osservare il file /etc/passwd
del proprio sistema. Si osservi che per impedire l'accesso agli utenti anonimi, ovvero ftp e anonymous, occorre estendere questo file con tali nomi:
|
Infine, OpenBSD FTP riconosce anche il file /etc/nologin
, in presenza del quale rifiuta gli accessi; inoltre, è possibile definire un messaggio di benvenuto nel file /etc/ftpwelcome
e anche il contenuto di /etc/motd
viene visualizzato all'accesso.
Con OpenBSD FTP, sfruttando l'opzione -A è possibile gestire facilmente un gruppo di lavoro che ha la necessità di accedere a un elaboratore remoto, per esempio per curare i contenuti di un sito.
L'opzione -A, letteralmente, fa sì che vengano accettati soltanto utenti anonimi. In pratica, questo significa che si accettano le utenze che accedono a una porzione limitata del file system, attraverso l'uso della funzione chroot(). Questi utenti possono essere quelli anonimi per definizione, ovvero ftp e anonymous, assieme a quelli elencati nel file /etc/ftpchroot
. Se però gli utenti ftp e anonymous sono indicati nel file /etc/ftpusers
, si ottiene di consentire l'accesso solo a utenti veri e propri (elencati in /etc/ftpchroot
), che devono fornire una parola d'ordine valida.
Per rendere più chiara questa possibilità, si descrive il problema pratico, che consiste nella necessità per un gruppo di persone di aggiornare una certa directory, per esempio /home/www/gruppo/
. Una o poche persone, devono avere la possibilità di intervenire su tutta la struttura, mentre altri devono poter intervenire a partire da sottodirectory, come per esempio /home/www/gruppo/eventi/
, /home/www/gruppo/notizie/
e altri.
In un sistema come questo, dove non si possono dare privilegi pari a quelli dell'utente root, l'ipotesi di strutturare le sottodirectory in modo che appartengano a utenti differenti, può essere poco pratica, perché in tal modo si dipende un po' troppo spesso dall'intervento dell'amministratore. Pertanto, tutti questi utenti potrebbero essere associati allo stesso numero UID e GID. Quello che segue è una porzione del file /etc/passwd
:
|
A queste utenze si affianca un'unica voce nel file nel file /etc/group
:
|
Nel file /etc/shadow
appaiono tutte, per poter distinguere le varie parole d'ordine:
|
Nel file /etc/passwd
appare per due volte l'utente gruppo, all'inizio e alla fine; ciò deve servire per assicurare di vedere sempre quel nome quando il numero UID viene tradotto in un nome. In particolare, il metterlo anche alla fine serve a garantire che il meccanismo funzioni anche quando si utilizza il NIS (si veda il capitolo 204). Come si può osservare, nessun utente è associato a una shell vera e propria, per evitare che sia possibile un accesso remoto differente, per esempio attraverso il protocollo SECSH (si veda il capitolo 279), ma ugualmente quel nome deve apparire nel file /etc/shells
.
Nel file /etc/passwd
si fa in modo che l'utente fittizio gruppo non possa accedere, inibendo in pratica il campo della parola d'ordine, mentre per gli altri utenti, l'amministratore può assegnare delle parole d'ordine personali.
Osservando le directory personali nel file /etc/passwd
si può comprendere che:
gli utenti tizio e caio possono fare quello che vogliono a partire dalla directory /home/www/gruppo/
;
l'utente sempronio può intervenire a partire dalla directory /home/www/gruppo/eventi/
, con l'aiuto dell'utente mevio, che però può intervenire solo a partire dalla directory /home/www/gruppo/eventi/spettacoli/
;
gli utenti filano e martino si occupano assieme della directory /home/www/gruppo/notizie/
, con la collaborazione di calpurnio che può intervenire a partire dalla directory /home/www/gruppo/notizie/belle/
.
Si ricorda che tutto questo ha significato in quanto gli utenti che accedono vedono solo la porzione di file system che si articola a partire dalla propria directory personale.
Per completare il sistema, bisogna però impedire agli utenti che possano creare file e directory il cui nome inizia con un punto. Infatti, ciò potrebbe consentire qualche forma di configurazione, che, per un esperto, potrebbe servire a realizzare qualche tipo di raggiro utile a ottenere per se dei privilegi di accesso maggiori. Per impedirlo, conviene realizzare uno script che cancella inesorabilmente questi file e queste directory, da avviare periodicamente con l'aiuto di Cron:
|
Appunti di informatica libera 2006.07.01 --- Copyright © 2000-2006 Daniele Giacomini -- <daniele (ad) swlibero·org>
1) OpenBSD FTP UCB BSD
2) Il particolare della shell valida va tenuto in considerazione perché altri serventi FTP si comportano diversamente.
Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome servente_openbsd_nbsp_ftp.htm
[successivo] [precedente] [inizio] [fine] [indice generale] [indice ridotto] [translators] [docinfo] [indice analitico]